开源安全的危机在于太相信 GitHub？——专访Apache之父amp;OpenSSF基金会总经理Brain Behlendorf( 二 ) _开放源代码

《新程序员》：还记得自己写的第一个比较有趣的程序是什么吗？你早期的编程风格是否有延续到如今的工作中？
Brian：大约在八岁的时候，我读过一本关于如何用 BASIC 为 TRS-80 计算机编写程序的书，也曾用这本书编写过一些简单的游戏和程序。至于我写的第一个真正的程序，那得回溯到我上小学四年级的时候。当时我需要每两周为班里安排一次随机座位表，于是我写了一个程序，可以随机分配座位且把结果打印出来。有意思的是，如果我被随机分配坐在不喜欢的人旁边，我就会让它再运行一遍，就可以“随机”坐在班上那些很酷的孩子旁边——所以这个座位表并不是完全“随机”的。老师不了解原理，所以也没能发现我的小动作。
但在那之后，我职业生涯的大部分时间里，都不经常编程了。还记得在建立Apache Web 服务器的早期我编写了不少程序，在 Apache 的第一个赞助网站上线时也写了很多东西。我现在仍然会维护自己的邮件服务器，但我从不以一个伟大的软件开发者自居，我并不伟大。
《新程序员》：1993 年告别校园后，你曾与伙伴们创立了 Organic.Inc，但当时的网络服务器软件无法处理公司需求，因此你尝试了修补开源代码，那是你第一次接触开源吗？你是如何与开源结缘的？
Brian：不，并不是那时候。我第一次接触开源应该是 1991 年第一次到伯克利的时候，我当时开始探索早期的互联网是什么样子，我看到互联网上有很多软件可以下载，可以轻而易举地下载每一个软件并且在自己的电脑上运行。从那时起我就有了一个想法：软件并不应该是让一两个人去编写，并且卖 30 多美元一份的东西；相反，软件应该是成百上千的人把小段代码拼在一起编写，将所有的东西都集中在一起的存在，这可能就是我开源思想的雏形。这段经历发生在 1991年，那是我第一次使用你们如今所认为的“开源软件”，但直到 1998 年，它才被称为开源，开源这个术语是在那之后发明的。
安全的开源开发需要公开的“配料表”
《新程序员》：自去年 12 月 Log4j2 曝出“惊天”漏洞以来，引发了全球多个国家政府以及科技巨头纷纷的关注与反思，同时关于开源软件的安全性问题的探讨也变得越来越紧迫。对你来说，开源安全领域过去几年发生了哪些大的变化？
Brian：开源安全是政府和企业需要共同努力的事情。我记得当时他们在 Log4j事件之后发布了相当多的报告，但在一份大约 3 周前发布的报告里表示：是很多不同的情况导致了这场危机，因此希望像 OpenSSF 这样的开源安全基金会越来越多。OpenSSF 被那份政府报告引用了 29 次。在我看来，至少在过去几年里，国家安全委员会不再会在修复漏洞的问题上对我们发表意见，所以基金会能取得如今这样的成果和地位，不仅是非常令人满意的，也是非常令人生畏的。开源安全是摆在我们面前的一项艰巨的任务，社会依赖它来运转，就像依赖桥梁、高速公路、电网或社会的其他部分一样，我们的生活不能没有它。
《新程序员》：2021 年 10 月，Linux 基金会宣布筹集 1000 万美元新投资，以扩展和支持开源安全基金会( OpenSSF )，保护开源供应链。为什么开源供应链如此重要？它在开源的发展中占据什么位置？
Brian：供应链代表着一切，可以说我们所生活的世界就是由供应链组成的，现在我的电脑旁边能有一只鼠标存在，都是因为供应链的存在。而软件自然也不例外，很少有哪个软件是由一个人写成，然后直接把它发送给终端用户的，因为开源软件就是离不开供应链的存在。

以上关于本文的内容，仅作参考！温馨提示：如遇专业性较强的问题（如：疾病、健康、理财等），还请咨询专业人士给予相关指导!

「辽宁龙网」www.liaoninglong.com小编还为您精选了以下内容，希望对您有所帮助：